10 puntos que debes conocer (YA) de la nueva LOPD y GDD (España)

Ya tenemos nueva LOPD, aunque esta vez tenga un apellido compuesto, con el añadido (no orgánico) de los derechos digitales y su garantía. Con más que un considerable retraso, tras la vigencia desde el 25 de mayo del RGPD, se publica en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Aunque su finalidad última sea la introducción en el ordenamiento jurídico interno del RGPD, ya directamente aplicable por su naturaleza jurídica, la LOPDGDD contiene sustanciales novedades, algunas de ellas vía modificación de otras normas, que conviene tener en consideración desde el primer momento, máxime a la vista de que su entrada en vigor se produce al día siguiente de su publicación en el BOE de 6 de diciembre de 2018 (muy constitucional), es decir, el 7 de diciembre. Por ello, a continuación realizamos una breve reseña de las 10 principales novedades a las que prestar atención:

1.- Legitimación de las Administraciones Públicas para utilizar y ceder datos personales

El art. 6 RGPD contiene las bases de legitimación para la utilización de los datos personales, de entre las cuales son dos las que sirven de base legal para la utilización y, en su caso, la cesión de datos por parte de las AAPP. Por un lado, cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, y, por otro,  cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

En este tema, la LOPDGDD introduce un nuevo art. 8, relativo al “Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos”, que aclara cuándo el tratamiento de datos personales podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) RGPD. Será cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, norma que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV RGPD.

2.- Utilización de nuestros datos para perfilación partidos políticos

La LOPDGDD añade un nuevo art. 58 bis a la Ley Orgánica 5/1985, de 19 de junio, del Régimen ElectoraL General, (LOREG )relativo a la “Utilización de medios tecnológicos y datos personales en las actividades electorales”, que ha levantado no pocas polémicas por la posible (indebida) utilización que de esos datos puedan hacer los partidos políticos, mediante técnicas de perfilación y que ha traido a la memoria el asunto de Cambridge Analytics, tal y como señala Borja Adsuara aquí y que ha provocado incluso el pronunciamiento “preventivo” de la Agencia Española de Protección de Datos (AEPD), en su criterio sobre cuestiones electorales en el proyecto LOPD, que puedes consultar aquí.